ESXi のセキュリティのベスト プラクティスに従うことで、vSphere デプロイの整合性を確保できます。詳細については、『セキュリティ強化ガイド』を参照してください。

インストール メディアの確認

ダウンロードしたファイルの整合性と信頼性を確認するために、ISO、オフライン バンドル、またはパッチをダウンロードしたら、必ず SHA1 ハッシュを確認します。VMware から入手した物理メディアのセキュリティ シールが破損している場合は、そのソフトウェアを VMware に返却して交換してください。

メディアをダウンロードしたら、MD5 サムの値を使用して、ダウンロードの整合性を確認します。MD5 サムの出力を VMware Web サイトで公開されている値と比較します。オペレーティング システムにより、MD5 サムの値を確認するための方法とツールが異なります。Linux の場合は、「md5sum」コマンドを使用します。Microsoft Windows の場合は、アドオン製品をダウンロードできます。

CRL の手動チェック

デフォルトでは、ESXi ホストは、CRL チェックをサポートしません。失効した証明書は、手動で検索して削除する必要があります。通常、これらの証明書は、企業またはサードパーティの認証局 (CA) によってカスタム生成された証明書です。多くの企業では、ESXi ホスト上の失効した SSL 証明書を検索して置換するためにスクリプトを使用します。

ESX Admins による Active Directory グループの監視

vSphere によって使用される Active Diretory グループは、システムの詳細設定 plugins.hostsvc.esxAdminsGroup によって定義されます。このオプションは、デフォルトで [ESX Admins] に設定されています。ESX Admins グループのすべてのメンバーには、ドメイン内のすべての ESXi ホストに対する完全な管理アクセス権が付与されます。グループの作成では Active Directory を監視し、メンバーシップを信頼性の高いユーザーおよびグループに制限してください。

構成ファイルの監視

ほとんどの ESXi 構成は API によって制御されますが、いくつかの構成ファイルはホストに直接影を及ぼします。これらのファイルは、HTTPS を使用する vSphere ファイル転送 API によって公開されます。これらのファイルに変更を加える場合は、構成変更などの対応する管理アクションを実行する必要があります。

注:

このファイル転送 API によって公開されていないファイルは監視しないでください。

vmkfstools を使用した機密データの消去

機密データが含まれる VMDK ファイルを削除する場合は、仮想マシンをシャットダウンまたは停止してから、そのファイルに対して vCLI コマンド vmkfstools --writezeros を発行します。その後で、ファイルをデータストアから削除することができます。